ЛР2

Лабораторная работа №2

Изучение пакетов антивирусной защиты. Антивирус Dr.Web

Цель работы: Ознакомиться с распространенной программой антивирусной защиты Dr.Web. Освоить методы работы с антивирусом.

1. Краткие теоретические сведения

1.1.Компьютерные вирусы и проблемы антивирусной защиты

Существует много определений компьютерного вирусы. Исторически первое определение было дано в 1984 году Фредом Коэном: «Компьютерный вирус — это программа, которая может заражать другие программы, модифицируя их посредством включения в них своей, возможно, измененной копии, причем последняя сохраняет способность к дальнейшему размножению». Ключевыми понятиями в этом определении компьютерного вируса яв-

ляется способность вируса к саморазмножению и способность к модифика-

ции вычислительного процесса. Указанные свойства компьютерного вируса аналогичны паразитированию биологического вируса в живой природе. С тех пор острота проблемы вирусов многократно возросла — к концу 20-го века в мире насчитывалось более 14300 модификаций вирусов. Разнообразие вирусов столь велико, что просто невозможно указать достаточные условия (перечислить набор признаков, при выполнении которых программу можно однозначно отнести к вирусам) — всегда найдутся программы с данными признаками, не являющимися вирусами.

В настоящее время под компьютерным вирусом принято понимать программный код, обладающий следующими свойствами:

1.Способностью к созданию собственных копий, необязательно совпадающих с оригиналом, но обладающих свойствами оригинала (самовоспроизведение).

2.Наличие механизма, обеспечивающего внедрение создаваемых копий в исполняемые объекты вычислительной системы.

Следует отметить, что эти свойства являются необходимыми, но недостаточными. Указанные свойства необходимо дополнить свойствами деструктивности и скрытности действий данной вредоносной программы в вычислительной среде.

11

1.2.Антивирусные программы и комплексы

Для защиты от компьютерных вирусов могут использоваться следующие методы и средства:

Общие методы и средства защиты информации.

Специализированные программы для защиты от вирусов.

Профилактические меры позволяющие уменьшить вероятность заражения вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Они используются также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей.

Существует две основных разновидности этих средств:

Средства копирования информации - применяются для создания копии файлов и системных областей дисков.

Средства разграничения доступа - предотвращают несанкционированное использование информации, в частности обеспечивают защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

При заражении компьютера вирусом важно его обнаружить. К внешним признакам проявления деятельности вирусов можно отнести следующие:

Вывод на экран непредусмотренных сообщений или изображений;

Подача непредусмотренных звуковых сигналов;

Изменение даты и времени модификации файлов;

Исчезновение файлов и каталогов или искажение их содержимого;

Частые зависания и сбой в работе компьютера;

Медленная работы компьютера;

Невозможность загрузки операционной системы;

Существенное уменьшение размера свободной оперативной памяти;

Прекращение работы или неправильная работа ранее успешно функционировавших программ;

Изменение размера файлов;

Неожиданное значительное увеличение количества файлов на диске.

Однако следует заметить, что перечисленные выше явления необязательно вызываются действиями вирусов, они могут быть следствием и дру-

12

гих причин. Поэтому правильная диагностика состояния компьютера всегда затруднена и обычно требует привлечения специализированных программ.

Для обнаружения и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать компьютерные вирусы. Такие программы называются антивирусами. Практически все антивирусные программы обеспечивают автоматическое восстановление зараженных программ и загрузочных секторов. Антивирусные программы используют различные методы обнаружения вирусов. К основным методам обнаружения компьютерных вирусов можно отнести следующие:

Метод сравнения с эталоном;

Эвристический анализ;

Антивирусный мониторинг;

Метод обнаружения изменений;

1.3.Пакет антивирусной защиты Dr.Web

Антивирус Доктор Вэб – это семейство кроссплатформенных антивирусных продуктов.Он имеет модульную структуру, ниже представлены его основные модульные компоненты:

Сканер Dr.Web для Windows – антивирусный сканер с графическим интерфейсом, который запускается по запросу пользователя или по расписанию и производит антивирусную проверку компьютера с помощью сканирования.

Антируткит Dr.Web (Anti-rootkit API) – фоновое сканирование на наличие руткитов. Начиная с версии 8.0 реализована подсистема фонового сканирования и нейтрализации активных угроз.

Превентивная защита - возможность защиты компьютера пользователя от заражения путем блокирования автоматической модификации критических объектов Windows, а также контроля некоторых небезопасных действий. Антивирус Dr.Web с помощью превентивной защиты обеспечивает контроль над следующими объектами: файл HOSTS; возможность низкоуровневого доступа к диску; возможность загрузки драйверов; доступ к

Image File Execution Options; доступ к User Drivers; параметры оболочки

Winlogon; нотификаторы Winlogon; автозапуск оболочки Windows; ассоциации исполняемых файлов; политики ограничения запуска программ (SRP); плагины Internet Explorer (BHO); автозапуск программ; автозапуск политик;

13

конфигурацию безопасного режима; параметры Session Manager; системные службы.

SpIDer Guard – антивирусный сторож, который постоянно находится в оперативной памяти, осуществляя проверку файлов и памяти «на лету», а также обнаруживая проявления вирусной активности.

SpIDer Mail – почтовый антивирусный сторож, который перехватывает обращения любых почтовых клиентов компьютера к почтовым серверам по протоколам POP3/SMTP/IMAP4/NNTP, обнаруживает и обезвреживает почтовые вирусы до получения писем почтовым клиентом с сервера или до отправки письма на почтовый сервер. Почтовый сторож также может осуществлять проверку корреспонденции на спам с помощью Антис-

пама Dr.Web.

Dr.Web Firewall – персональный межсетевой экран Антивируса Dr.Web, предназначенный для защиты компьютера от несанкционированного доступа извне и предотвращения утечки важных данных по сети.

Модуль обновления, который позволяет зарегистрированным пользователям получать обновления вирусных баз и других файлов комплекса, а также производит их автоматическую установку; незарегистрированным пользователям дает возможность зарегистрироваться или получить демонстрационный ключ.

2.Порядок выполнения лабораторной работы

2.1.Задание для выполнения практической части работы

1.Установить программу Dr. Web и активировать месячную лицензию. При необходимости обновить сигнатурные базы.

2.Ознакомиться с модулями, входящими в состав пакета Dr. Web и зафиксировать основные настройки каждого из них.

3.Провести проверку на наличие угроз на компьютере и описать возможности, предоставляемые программой. Обнаружить хотя бы один вирус, описать его.

2.2. Обязательные иллюстрации к работе

1.Дать скриншоты окон установки антивируса Dr. Web.

2.Привести скриншоты основных модулей, входящих в состав антивируса Dr. Web, и основных его настроек.

14

3.Привести скриншот процесса сканирования с обнаружением вируса (или нескольких вирусов).

2.3.Пример выполнения практической части работы.

На рисунках 2.1- 2.6 приведены примеры полученных результатов при выполнении работы из антивируса Dr. Web

Рис.2.1. Первое окно установки антивируса Dr. Web.

Рис.2.2. Обновление программы и сигнатур при установке антивируса Dr.

Web.

15

Рис.2.3. Сканирование на наличие вирусов при установке антивируса Dr.

Web.

Рис.2.4. Результат проверки на наличие вирусов при установке антивируса

Dr. Web.

16

Рис.2.5. Окно завершения установки антивируса Dr. Web.

Рис.2.6. Окно сведений об установленной версии антивируса Dr. Web и его модулей.

2.4.Пример описания найденного вируса

Технические детали. Троянская программа, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запус-

17

кает их на выполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 113152 байта. Ничем не упакована. Написана на

Visual Basic.

Инсталляция.После запуска троянец копирует свое тело в каталог про-

грамм Windows под именем "lsass.exe":

%Program Files%\Microsoft Studio Files\lsass.exe

Для автоматического запуска при каждом следующем старте системы троянец создает ссылку на свой исполняемый файл в ключе автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"

Далее троянец в своем каталоге установки создает файл командного интерпретатора "vcdg.bat":

%Program Files%\Microsoft Studio Files\vcdg.bat

в который записывает следующие строки:

netsh.exe firewall add allowedprogram PROGRAM="%Program Files%\Microsoft Studio Files\lsass.exe" NAME="Session Win32" MODE=ENABLE PROFILE=ALL

Таким образом, троянец добавляет настройку в конфигурацию файервола Windows XP, которая разрешает выполнение любой сетевой активности для вредоносного процесса.

Затем файл "%Program Files%\Microsoft Studio Files\vcdg.bat" запуска-

ется на выполнение.

Деструктивная активность.После инсталляции троянец выполняет загрузку файлов, расположенных по следующим адресам:

http://www.club-vw.cl/*****/modules/subsmanager/api_apache.tar http://www.*****-consult.net/rcss.res http://www.photo-*****.ru/images/exhibition_moll2005_file0031.jpg

На момент создания описания указанные ссылки не работали. http://www.cemm*****ac.at/img/nav/plus19a_RO.jpg

Данный файл имеет размер 2603325 байт и детектируется Антивирусом Касперского, как Trojan-Spy.Win32.Banbra.bak.

Загруженные файлы сохраняются в каталог установки троянской программы под случайными именами и запускаются на выполнение.

Рекомендации по удалению.Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1.При помощи ( "Диспетчера задач") завершить троянский процесс.

18

2. Удалить параметр в ключе системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"lsass" = "%Program Files%\Microsoft Studio Files\lsass.exe"

3.Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).

4.Удалить каталог со всем его содержимым:

%Program Files%\Microsoft Studio Files

5.Очиститькаталог%Temporary Internet Files%.

6.Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

3.Контрольные вопросы

1.Назовите основные признаки деления вирусов на классы.

2.Файловые, сетевые …. – продолжите список вирусов.

3.К вирусам какого признака можно отнести макровирусы?

4.Термин «компаньон-вирусы» относятся к каким вирусам?

5.Опишите правила работы загрузочных вирусов.

6.Как макровирусы получают управление?

7.Какие вирусы называют программами типа «червь»?

8.Как действуют вирусы, ориентированные на операционную систему?

9.Опишите стадию жизненного цикла вируса, на которой он наиболее уязвим со стороны антивирусной программы.

10.Перечислите этапы стадии исполнения вируса.

11.На какой стадии вирус может шифровать исполняемый код? 12.Перечислите приёмы модификации кода.

13.Что представляет собой процесс загрузки вируса?

14.Опишите поведение полиморфных вирусов.

15.Опишите поведение стелс-вирусов.

16.Охарактеризуйте невыгружаемые из основной памяти вирусы, приведите пример.

17.Опишите два способа поиска жертвы заражения.

18.Что такое простейший случай заражения вирусом?

19.Как создаётся новый инфицированный файл?

20.Опишите первый способ внедрения вируса в файл.

21.Опишите второй способ внедрения вируса в файл.

22.Опишите третий способ внедрения вируса в файл.

19